Menguak WORM!!!!!!
Pengenalan
Worm Vobfus (Visual Basic Obfuscated) atau shortcut/random dibuat menggunakan bahasa pemrograman Visual Basic dan memiliki ukuran yang bervariasi tergantung varian worm. File worm juga menggunakan icon Visual Basic dengan ekstensi file .exe (application) dan .scr (Screen Saver).
Saat menginfeksi computer korban, worm akan membuat beberapa file induk diantaranya:
· C:\Documents and Setting\%User%\alg.exe ataux.exe (Windows 2000/XP/2003)
· C\Documents and Setting\%yser%\[nama_acak].exe (Windows 2000/XP/2003)
· C:\User\%user%\alg.exe atau x.exe (Windows 2000/XP/2003)
· C:\User\%user%\alg.exe atau x.exe (Vista/7/2008)
Dan juga membuat beberapa file virus pada removable drive/disk yaitu:
· [nama_acak].exe
· [nama_acak].scr
Selain itu, worm akan membuat file shortcut yang disesuaikan dengan nama folder yang telah disembunyikan. Selain itu worm akan membuat file shortcut yang lain yaitu:
· Documents.Ink
· Music.Ink
· New Folder.Ink
· Passwords.Ink
· Pictures.Ink
· Video.Ink
· [nama_acak].Ink (hingga beberapa file)
Gejala & Efek
Beberapa gejala dan efek yang terjadi jika anda terinfeksi worm ini yaitu sebagai berikut:
· Melindungi proses worm dan mencegah proses aplikasi/program keamanan.
Worm mencoba memonitor proses yang berjalan di memori dan memastikan agar proses worm tidak dimatikan oleh program/aplikasi keamanan seperti antivirus dan removal. Jika ada program/aplikasi keamanan yang berjalan, maka worm akan mencoba menginfeksi dan membuat error pada program tersebut.
Koneksi Remote Server dan mendownload file birus lain
Dengan memonitor proses yang berjalan, worm mencoba melakukan koneksi ke IP remote server yang diruju melalui file system yang diinfeksi seperti file explorer.exe atau svchost.exe, setelah terkoneksi, worm mendownload varian malware lain agar tidak mudah terdeteksi dari antivirus atau removal tool.
Metode Penyebaran
Sama seperti worm YM (conime/secupdat) dan Sruxnet, metode awal penyebaran worm ini berasal pada link website yang mengandung Trojan dan link spam pada e-mail. Tetapi setelah computer pengguna terinfeksi, worm mulai melakukan penyebaran menggunakan media removable drive/disk.
Selain itu, dalam jaringan akan memanfaatkan file sharing (full) dan mapping drive dengan membuat beberapa file virus dan shortcut.
Modifikasi Registry
Beberapa modifikasi registry yang dilakukan oleh worm yaitu:
· Merubah registry
· Folder Options
Agar file worm tidak dapat dilihat, maka worm merubah key pada Folder Options, unguk itu virus merubah key menjadi berikut:
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden=0
· Menambah registry
· Start-up
Agar file worm dapat langsung aktif pada saat meghidupkan computer, maka worm menambah key sebagai berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[nama_acak] = C:]Document and Setting\%user%\[nama_acak].exe
NB: BERSAMBUNG >> Pembersihan WORM!!!!!
